sonar-java 手写一个规则-单元测试分析

前言

最近做项目,定制sonar规则,提高Java代码质量,在编写的sonar规则,做验证时,使用单元测试有一些简单的心得感悟,分享出来。

自定义规则模式

sonar的自定义规则很简单,一般而言有2种模式可以使用:

1. 自定义扫描代码逻辑,并对分类的Tree的结构处理

2. 使用已扫描的分类,对分好类的Tree进行分析

BaseTreeVisitor&JavaFileScanner

extends BaseTreeVisitor implements JavaFileScanner

继承Tree的访问器,实现Java文件扫描器

TreeVisitor定义了很多Tree的读取过程,当然我们也可以扩展这个过程,Tree是哪里来的呢,scan的接口实现的

IssuableSubscriptionVisitor

extends IssuableSubscriptionVisitor

继承发布订阅访问器,意思是sonar的sdk默认扫描出来,我们需要定义那些是我们需要的,就订阅处理相关的Tree处理,推荐使用这种方式,开发便捷,性能可以得到保障,毕竟扫描文件的算法,如果写的性能差,扫描会很久。

比如我们写一个扫描检查Java代码里的SQL的drop table语句

@Rule(key = "DropTableSQLCheck")
public class DropTableSQLCheck extends IssuableSubscriptionVisitor {private static final String RECOMMENDATION_DROP_MESSAGE = "Make sure that drop table \"%s\" is expected here instead of sql platform.";private static final String DROP_TABLE_STR = "DROP TABLE";//告诉sonar插件,我需要访问这个,这里定义了字符串,插件定义了很多,如果不符合要求就需要自定义扩展,同时需要扩展扫描器@Overridepublic List<Tree.Kind> nodesToVisit() {return Collections.singletonList(Tree.Kind.STRING_LITERAL);}// 访问我们刚刚要求的类型,已经安装Kind过滤了,扫描文件,归类的逻辑,已经sonar的API实现了,如果不符合要求才需要扩展@Overridepublic void visitNode(Tree tree) {if (!tree.is(Tree.Kind.STRING_LITERAL)) return;SyntaxToken syntaxToken = tree.firstToken();if (syntaxToken == null) return;String str = syntaxToken.text();if (StringUtils.isBlank(str)) return;String originStr = str;str = str.trim().toUpperCase();if (str.contains(DROP_TABLE_STR)) {reportIssue(tree, String.format(RECOMMENDATION_DROP_MESSAGE, originStr));}}
}

这里没有考虑xml的SQL,包括字符串多个空格的考虑,理论上应该按照分析drop,然后为index逐个字符读取,如果是空格就读取下一个,如果是非t就return,如果下一个是非a就return,当然也可以使用正则。这里使用简化算法,做一个Demo

加上规则类,仿造写sonarqube的元数据

到此规则编写完成,后面分析单元测试逻辑

源码分析

简单分析下,代码执行逻辑,类似Java agent插件

从main的class执行

上下文加扩展,这里是一个注册扫描规则,一个注册扫描元数据,当然也可以合二为一,架构建议分离,所以Demo是分离的

元数据规则是sonarqube server启动实例化,启动就可以看到检查类别,检查类规则是代码分析时实例化

注册规则类,这里又分了是否用于test,上面的手写规则需要注入这个里面

元数据信息是路径扫描读取的,所以只要放在那个路径就行,通过@Rule的名称匹配文件名

 这里的repository_key是sonarqube显式的规则名称,同时这里也可以扫描其他语言,比如xml

这里写好后,如果需要本地验证,则需要单元测试。

单元测试

编写单元测试代码,即使是不能编译的代码也可以扫描

class A {private final String SQL = "drop table xxx";void foo() {String SQL1 = "drop table xxx"; // NoncompliantdoSomething(SQL1);}@SQL("drop table xxx")public void doSomething(String SQL){// do something}
}

 编写test

public class DropTableSQLCheckTest {@Testvoid test() {((InternalCheckVerifier) CheckVerifier.newVerifier()).onFile("src/test/files/DropTableSQLCheck.java").withCheck(new DropTableSQLCheck()).withQuickFixes().verifyIssues();}
}

载入需要扫描的文件和使用那个规则类检查 

单元测试分析

单元测试写好后,出现这个错误

这并不是规则写的有问题或者规则没命中,而是一种断言,sonar的单元测试jar定义

如果扫描出问题,那么需要对有问题的行打上

// Noncompliant

开头的注释,否则断言不通过

规则来源于org.sonar.java.checks.verifier.internal.Expectations的

collectExpectedIssues

方法中

    private static final String NONCOMPLIANT_FLAG = "Noncompliant";private final Set<SyntaxTrivia> visitedComments = new HashSet<>();private Pattern nonCompliantComment = Pattern.compile("//\\s+" + NONCOMPLIANT_FLAG);private void collectExpectedIssues(String comment, int line) {// 此处断言,收集断言有问题的代码行if (nonCompliantComment.matcher(comment).find()) {ParsedComment parsedComment = parseIssue(comment, line);if (parsedComment.issue.get(QUICK_FIXES) != null && !collectQuickFixes) {throw new AssertionError("Add \".withQuickFixes()\" to the verifier. Quick fixes are expected but the verifier is not configured to test them.");}// 放进预估issues.computeIfAbsent(LINE.get(parsedComment.issue), k -> new ArrayList<>()).add(parsedComment.issue);parsedComment.flows.forEach(f -> flows.computeIfAbsent(f.id, k -> newFlowSet()).add(f));}if (FLOW_COMMENT.matcher(comment).find()) {parseFlows(comment, line).forEach(f -> flows.computeIfAbsent(f.id, k -> newFlowSet()).add(f));}if (collectQuickFixes) {parseQuickFix(comment, line);}}

同理,如果一个问题都没用,那么验证不了规则,直接断言失败

org.sonar.java.checks.verifier.internal.InternalCheckVerifier

  private void assertMultipleIssues(Set<AnalyzerMessage> issues, Map<TextSpan, List<JavaQuickFix>> quickFixes) throws AssertionError {if (issues.isEmpty()) { // 没有错误示例,就断言失败throw new AssertionError("No issue raised. At least one issue expected");}List<Integer> unexpectedLines = new LinkedList<>();Expectations.RemediationFunction remediationFunction = Expectations.remediationFunction(issues.iterator().next());Map<Integer, List<Expectations.Issue>> expected = expectations.issues;for (AnalyzerMessage issue : issues) {validateIssue(expected, unexpectedLines, issue, remediationFunction);}// expected就是我们通过注释断言的sonar需要扫描出来的问题,如果有部分没有预计断言出来就会if (!expected.isEmpty() || !unexpectedLines.isEmpty()) {Collections.sort(unexpectedLines);List<Integer> expectedLines = expected.keySet().stream().sorted().collect(Collectors.toList());throw new AssertionError(new StringBuilder() //这里抛出断言缺失的错误或者错误断言的错误.append(expectedLines.isEmpty() ? "" : String.format("Expected at %s", expectedLines)).append(expectedLines.isEmpty() || unexpectedLines.isEmpty() ? "" : ", ").append(unexpectedLines.isEmpty() ? "" : String.format("Unexpected at %s", unexpectedLines)).toString());}assertSuperfluousFlows();if (collectQuickFixes) {new QuickFixesVerifier(expectations.quickFixes(), quickFixes).accept(issues);}}

总结

sonar扫描实际上现在已经非常完善了,尤其是新API的提供,很大程度不需要我们写什么东西,专注核心的扫描算法与Tree的解析,甚至大部分扫描算法都不需要写了,使用发布订阅即可,得益于新API的提供,目前使用的很多API还是@Beta注解,但是开发效率极大的提升了,毕竟以前旧的sonar版本,需要我们自己写各种扫描与分析逻辑。不过sonar的单元测试与传统的单元测试是有一定区别的,sonar的测试逻辑是必须有一个问题测试案例,且需要打上

// Noncompliant

注释,注释的行既是命中的行,sonar使用行号作为map的key,这样sonar才认为是命中规则的。如果断言错误,或者断言的数量不对,那么也一样会单元测试失败。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/265466.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

udp服务器【Linux网络编程】

目录 一、UDP服务器 1、创建套接字 2、绑定套接字 3、运行 1&#xff09;读取数据 2&#xff09;发送数据 二、UDP客户端 创建套接字&#xff1a; 客户端不用手动bind 收发数据 处理消息和网络通信解耦 三、应用场景 1、服务端执行命令 2、Windows上的客户端 3…

【亚马逊云新春特辑②】构生成式 AI 文生图工具之借助ControlNet进行AI绘画创作【生成艺术二维码】

文章目录 1.1 生成艺术二维码1&#xff09;制作基础二维码2&#xff09;确定艺术风格3&#xff09;生成艺术二维码4&#xff09;结果优化 AIGC 的可控性是它进入实际生产最关键的一环。在此之前&#xff0c;许多用户希望 AI 生成的结果尽可能符合要求&#xff0c;但都不尽如人意…

linux服务器调度数据库的存储过程

1、需要安装数据库的客户端 2、安装sqlplus 3、编写sh脚本 脚本内容如下&#xff1a; 4、设置调度任务

【GPTs分享】每日GPTs分享之Image Generator Tool

今日GPTs分享&#xff1a;Image Generator Tool。Image Generator Tool是一种基于人工智能的创意辅助工具&#xff0c;专门设计用于根据文字描述生成图像。这款工具结合了专业性与友好性&#xff0c;鼓励用户发挥创造力&#xff0c;同时提供高效且富有成效的交互体验。 主要功能…

4. client-go 编程式交互

Kubernetes 系统使用 client-go 作为 Go 语言的官方编程式交互客户端库&#xff0c;提供对 Kubernetes API Server 服务的交互访问。Kubernetes 的源码中已经集成了 client-go 的源码&#xff0c;无须单独下载。client-go 源码路径为 vendor/k8s.io/client-go。 开发者经常使用…

rviz显示双臂ur10

注意有线网的连接 注意这里rviz只做显示用&#xff0c;并没有结合moveit 步骤总结如下&#xff1a; launch文件&#xff1a;这里tf加上域名&#xff0c;是tool0_controller和base两个tf的前缀 在luanch文件最后就统一加载一次模型&#xff0c;传递两个参数 这里加上另一个机…

【Go语言】Go语言中的切片

Go语言中的切片 1.切片的定义 Go语言中&#xff0c;切片是一个新的数据类型数据类型&#xff0c;与数组最大的区别在于&#xff0c;切片的类型中只有数据元素的类型&#xff0c;而没有长度&#xff1a; var slice []string []string{"a", "b", "c…

大模型(LLM)的token学习记录-I

文章目录 基本概念什么是token?如何理解token的长度&#xff1f;使用openai tokenizer 观察token的相关信息open ai的模型 token的特点token如何映射到数值&#xff1f;token级操作&#xff1a;精确地操作文本token 设计的局限性 tokenizationtoken 数量对LLM 的影响训练模型参…

【React源码 - 调度任务循环EventLoop】

我们知道在React中有4个核心包、2个关键循环。而React正是在这4个核心包中运行&#xff0c;从输入到输出渲染到web端&#xff0c;主要流程可简单分为一下4步&#xff1a;如下图&#xff0c;本文主要是介绍两大循环中的任务调度循环。 4个核心包&#xff1a; react&#xff1a;…

day02_前后端环境搭建(前端工程搭建,登录功能说明,后端项目搭建)

文章目录 1. 软件开发介绍1.1 软件开发流程1.2 角色分工1.3 软件环境1.4 系统的分类 2. 尚品甄选项目介绍2.1 电商基本概念2.1.1 电商简介2.1.2 电商模式B2BB2CB2B2CC2BC2CO2O 2.2 业务功能介绍2.3 系统架构介绍2.4 前后端分离开发 3. 前端工程搭建3.1 Element-Admin简介3.2 El…

WordPress前端如何使用跟后台一样的Dashicons图标字体?

很多站长都喜欢在站点菜单或其他地方添加一些图标字体&#xff0c;常用的就是添加Font Awesome 图标和阿里巴巴矢量库图标iconfont。其实我们使用的 WordPress 本身就有一套管理员使用的官方图标字体 Dashicons&#xff0c;登录我们站点后台就能看到这些图标字体。那么有没有可…

dcat admin 自定义页面

自定义用户详情页 整体分为两部分&#xff1a;用户信息、tab框 用户信息采用自定义页面加载&#xff0c;controller代码如下&#xff1a; protected function detail($id) {return Show::make($id, GameUser::with(finance), function (Show $show) {// 这段就是加载自定义页面…

RunnerGo UI自动化测试脚本如何配置

RunnerGo提供从API管理到API性能再到可视化的API自动化、UI自动化测试功能模块&#xff0c;覆盖了整个产品测试周期。 RunnerGo UI自动化基于Selenium浏览器自动化方案构建&#xff0c;内嵌高度可复用的测试脚本&#xff0c;测试团队无需复杂的代码编写即可开展低代码的自动化…

求两个向量之间的夹角

求两个向量之间的夹角 介绍Unity的API求向量夹角Vector3.AngleVector3.SignedAngle 自定义获取方法0-360度的夹角 总结 介绍 求两个向量之间的夹角方法有很多&#xff0c;比如说Unity中的Vector3.Angle&#xff0c;Vector3.SignedAngle等方法&#xff0c;具体在什么情况下使用…

《隐私计算简易速速上手小册》第2章:关键技术介绍(2024 最新版)

文章目录 2.1 同态加密2.1.1 基础知识2.1.2 主要案例&#xff1a;云计算数据分析2.1.3 拓展案例 1&#xff1a;医疗数据分析2.1.4 拓展案例 2&#xff1a;金融风险评估 2.2 安全多方计算&#xff08;SMC&#xff09;2.2.1 基础知识2.2.2 主要案例&#xff1a;跨机构金融数据共享…

【医学影像】LIDC-IDRI数据集的无痛制作

LIDC-IDRI数据集制作 0.下载0.0 链接汇总0.1 步骤 1.合成CT图reference 0.下载 0.0 链接汇总 LIDC-IDRI官方网址&#xff1a;https://www.cancerimagingarchive.net/nbia-search/?CollectionCriteriaLIDC-IDRINBIA Data Retriever 下载链接&#xff1a;https://wiki.canceri…

【王道数据结构】【chapter7查找】【P308t5】

试编写一个算法&#xff0c;判断给定的二叉树是否是二叉排序树 #include <iostream> #include <queue> typedef struct node{int data;struct node* left;struct node* right; }node,*pnode;pnode buynode(int x) {pnode tmp(pnode) malloc(sizeof (node));tmp->…

SpringMVC 学习(九)之拦截器

目录 1 拦截器介绍 2 创建一个拦截器类 3 配置拦截器 1 拦截器介绍 在 SpringMVC 中&#xff0c;拦截器 (Interceptor) 是一种用于拦截 HTTP 请求并在请求处理之前或之后执行自定义逻辑的组件。拦截器可以用于实现以下功能&#xff1a; 权限验证&#xff1a;在请求处理之前…

SORA 到底是什么?如何用bitget wallet购买?

什么是SORA&#xff1f; SORA 是一种模因币&#xff0c;灵感来自 OpenAI 最新的人工智能模型 Sora&#xff0c;它巧妙地根据文本输入生成视频。 SORA 诞生于加密社区内人工智能项目的热潮中&#xff0c;利用 OpenAI 的公告推出了一种独特且时尚的数字资产。正如 memecoin 网站…

文件操作(IO技术,重要!!!)

1、文本文件和二进制文件 按文件中数据组织形式&#xff0c;我们把文件分为文本文件和二进制文件两大类&#xff0c; 1. 文本文件 文本文件存储的是普通“字符”文本&#xff0c;默认为unicode字符集&#xff08;两个字节表示一个字符&#xff0c;65535&#xff09;&#xff0c…